¿Sabías que tu firma electrónica amparada con un certificado digital emitido por el SAT te puede servir para firmar contratos mercantiles? – Lex Informática

Con el creciente intercambio de información y la realización de negocios mediante distintos tipos de redes de información se ha generado una necesidad imperiosa de métodos de autenticación electrónica. En definitiva, parece que al no existir una presencia física simultánea entre las partes deviene imprescindible el uso de unos métodos de autenticación incluso más exigentes que en el mundo físico, donde parece que la presencia física puede no requerir tantas obligaciones.

Por otro lado, indisolublemente unido a la firma electrónica, aunque no siempre él a ella, sino al revés, aparece el documento electrónico.

El documento electrónico, se concibe como un medio de expresión de la voluntad con efectos de creación, modificación o extinción de derechos y obligaciones por medio de la electrónica. La seguridad en la comunicación electrónica es fundamental para el desarrollo del Comercio Electrónico. En un flujo de transacciones en donde las partes ya no tienen contacto ‘físico’, ¿cómo pueden asegurarse de la identidad de aquel con quien están realizando una operación? e, incluso, ¿cómo pueden tener la certeza de que la información intercambiada no ha sido robada, alterada o conocida por personas ajenas?

La firma electrónica, técnicamente, es un conjunto o bloque de caracteres que viaja junto a un documento, archivo o mensaje y que puede acreditar cuál es el autor o emisor del mismo (lo que se denomina identificación y autenticación) y que nadie ha manipulado o modificado el mensaje en el transcurso de la comunicación (integridad).

De esta forma la Firma Electrónica Avanzada amparada con un certificado digital válido y vigente garantiza además la integridad y el no repudio del documento firmado electrónicamente

Quizás la parte que más nos interesa a los usuarios es la garantía de detección de cualquier modificación de los datos firmados, proporcionando una integridad total ante alteraciones fortuitas o deliberadas durante la transmisión del documento firmado. El hecho de que la firma sea creada por el usuario mediante medios que mantiene bajo su propio control (clave privada, contraseña, disco o USB, etc.) asegura la imposibilidad de efectuar lo que se conoce como  “suplantación de personalidad”.

El Código de Comercio en su artículo 96 establece.- “Las disposiciones del presente Código serán aplicadas de modo que no excluyan, restrinjan o priven de efecto jurídico cualquier método para crear una Firma Electrónica”

Aún más, el artículo cuarto transitorio del  DECRETO por el que se reforman y adicionan diversas disposiciones del Código de Comercio en Materia de Firma Electrónica, publicado en el Diario Oficial de la Federación el 29 de agosto de 2003, establece que el Banco de México, en el ámbito de su competencia, regulará y coordinará a la autoridad registradora central, registradora y certificadora, de las instituciones financieras y de aquellas que acredite como prestadores de servicios de certificación.

Considerando que el propio Banco de México por convenio fechado el 4 de agosto del 2004, publicado en el Diario Oficial el 21 de septiembre del mismo año, acreditó al SAT como Agencia Certificadora y Registradora. Es en ese carácter con el que el SAT funge como Prestador de Servicios de Certificación para personas físicas.

Luego entonces es perfectamente válido contratar en el ámbito mercantil con una firma electrónica avanzada amparada en un certificado digital emitido por el SAT.

Alfredo Reyes Krafft

a.reyes@lexinf.com

@aareyesk

@Lexinformatica

Lex Informática

Share

ALGUNAS TESIS INTERESANTES SOBRE FIRMA ELECTRÓNICA – Lex Informática

LEX INFORMATICA: ALGUNAS TESIS INTERESANTES SOBRE FIRMA ELECTRÓNICA

Época: Décima Época

Registro: 2009165

Instancia: Tribunales Colegiados de Circuito

Tipo de Tesis: Aislada

Fuente: Gaceta del Semanario Judicial de la Federación

Libro 18, Mayo de 2015, Tomo III

Materia(s): Civil

Tesis: I.3o.C.220 C (10a.)

Página: 2400

 

TRANSFERENCIAS ELECTRÓNICAS. NO ES DOCUMENTO PRIVADO CUYO VALOR SEA EQUIPARABLE AL DE UNA COPIA SIMPLE.

 

La impresión de internet de una transferencia electrónica no puede ser valorada como una copia simple de un documento privado, toda vez que no puede imputársele a persona alguna su elaboración o materialización ante la falta de firma autógrafa para efectos de su reconocimiento, sino que en términos de los artículos 1237, 1238, 1242 y 1245 del Código de Comercio, así como del diverso 210-A del Código Federal de Procedimientos Civiles, de aplicación supletoria al de Comercio, goza de la naturaleza de descubrimiento de la ciencia, por lo que queda al prudente arbitrio del juzgador la valoración de la información recabada de medios electrónicos. Así, en aras de crear seguridad jurídica en los usuarios de los servicios electrónicos, el legislador estableció reglas específicas para la valoración de la documental electrónica, de tal suerte que no puede valorarse como si se tratara de una copia simple de documentos privados, sino que queda a la prudencia del juzgador, en la inteligencia de que debe atenderse preponderantemente a la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada la información contenida en los medios electrónicos, como son el código de captura, la cadena de caracteres generada con motivo de la transacción electrónica, sello digital o cualquiera que permita autenticar el contenido de ese documento digital y no elementos ajenos a la naturaleza de los documentos electrónicos; si el documento no fue objetado de falsedad por la parte actora y la objeción fue en cuanto a su alcance y valor probatorio, sin que se argumentara que dicho pago correspondiera a bienes, servicios o cualquier otra diversa; mientras que si existió el reconocimiento táctico de la existencia de dicho pago, contará con pleno valor probatorio.

 

TERCER TRIBUNAL COLEGIADO EN MATERIA CIVIL DEL PRIMER CIRCUITO.

 

Amparo directo 634/2012. Central Corporativa de Medios, S. de R.L. de C.V. 11 de octubre de 2012. Unanimidad de votos. Ponente: Víctor Francisco Mota Cienfuegos. Secretaria: María Estela España García.

 

Nota: La presente tesis fue emitida en cumplimiento a lo ordenado en la resolución dictada el 11 de marzo de 2015 por la Primera Sala de la Suprema Corte de Justicia de la Nación, en la contradicción de tesis 299/2014, entre las sustentadas por el Segundo Tribunal Colegiado en Materia Civil del Primer Circuito y el Tercer Tribunal Colegiado en Materia Civil del Primer Circuito, publicada en la Gaceta del Semanario Judicial de la Federación, Décima Época, Libro 18, Tomo I, mayo de 2015, página 398.

 

Esta tesis se publicó el viernes 15 de mayo de 2015 a las 9:30 horas en el Semanario Judicial de la Federación.

 

 

 

 

 

Época: Décima Época

Registro: 159815

Instancia: Tribunales Colegiados de Circuito

Tipo de Tesis: Aislada

Fuente: Gaceta del Semanario Judicial de la Federación

Libro 11, Octubre de 2014, Tomo III

Materia(s): Civil

Tesis: I.3o.C.1067 C (9a.)

Página: 2878

 

MENSAJES DE DATOS O CORREOS ELECTRÓNICOS. SON PRUEBAS DOCUMENTALES QUE PUEDEN ACREDITAR LA EXISTENCIA DE UNA RELACIÓN COMERCIAL ENTRE LAS PARTES DEL JUICIO, SIEMPRE QUE CUMPLAN CON LOS REQUISITOS ESTABLECIDOS EN EL CÓDIGO DE COMERCIO.

 

De conformidad con el Código de Comercio se presumirá que un “mensaje de datos”, también conocido como “correo electrónico”, ha sido enviado por el emisor y, por tanto, el destinatario podrá actuar en consecuencia, cuando haya aplicado en forma adecuada el procedimiento acordado previamente con el emisor, con el fin de establecer que dicho “mensaje” provenía efectivamente de éste. Luego, cuando la ley requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho cuando exista garantía confiable de que se conservó la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva. Para ello, se considerará que el contenido de este tipo de documentos es íntegro, si éste ha permanecido completo e inalterado independientemente de los cambios que hubiere podido sufrir el medio que lo contiene, resultado del proceso de comunicación, archivo o presentación pues el grado de confiabilidad requerido será determinado conforme a los mecanismos establecidos previamente por las partes para lograr los fines para los que se generó la información y de todas las circunstancias relevantes del caso. Por lo que dicho “mensaje” servirá para acreditar una relación comercial entre las partes del juicio.

 

TERCER TRIBUNAL COLEGIADO EN MATERIA CIVIL DEL PRIMER CIRCUITO.

 

Amparo directo 55/2007. Cantinas y Franquicias Gastronómicas, S.A. de C.V. 9 de agosto de 2007. Unanimidad de votos. Ponente: Víctor Francisco Mota Cienfuegos. Secretaria: María Estela España García.

 

Esta tesis se publicó el viernes 31 de octubre de 2014 a las 11:05 horas en el Semanario Judicial de la Federación.

 

 

 

Época: Novena Época

Registro: 186287

Instancia: Tribunales Colegiados de Circuito

Tipo de Tesis: Aislada

Fuente: Semanario Judicial de la Federación y su Gaceta

Tomo XVI, Agosto de 2002

Materia(s): Civil

Tesis: V.3o.9 C

Página: 1279

 

DOCUMENTAL CONSISTENTE EN INFORMACIÓN EXTRAÍDA DE INTERNET. EN CUANTO DOCUMENTO INNOMINADO, CON BASE EN EL ARBITRIO JUDICIAL, PUEDE ASIGNÁRSELE VALOR INDICIARIO.

 

El Código de Comercio establece en sus artículos 1237, 1238 y 1297, respectivamente, cuáles son los instrumentos públicos, los privados y los simples; asimismo, en los diversos artículos 1277, 1279 y 1284 de la legislación en cita, refiere las presunciones humanas; ahora bien, de la interpretación armónica de los citados artículos se infiere que el documento que contiene información referente a las tasas de intereses recabadas de “internet”, como medio de diseminación y obtención de información, el citado instrumento no constituye un documento público pues, además de no ser un documento original, no contiene sello o alguna otra característica que señale la ley para darle el carácter de público, ni tampoco puede considerarse como documento privado, porque no constituye un documento original, conforme lo requiere el artículo 1242 de la ley en consulta; en consecuencia, de ello se deduce que dicho instrumento sólo puede ser considerado como documento simple y, por tanto, innominado; de suerte que si éste es un medio de prueba reconocido por la ley y no se demostró que la información contenida en dicho documento sea incongruente con la realidad, de ello deriva que es apto para integrar la presuncional humana, con observancia, además, del artículo 1205, del Código de Comercio, que señala: “Son admisibles como medios de prueba todos aquellos elementos que puedan producir convicción en el ánimo del juzgador acerca de los hechos controvertidos o dudosos y en consecuencia serán tomadas como pruebas las declaraciones de las partes, terceros, peritos, documentos públicos o privados, inspección judicial, fotografías, facsímiles, cintas cinematográficas, de videos, de sonido, mensajes de datos, reconstrucciones de hechos y en general cualquier otra similar u objeto que sirva para averiguar la verdad.”; de ahí que su valor quede al arbitrio del juzgador como indicio, y como tal deban atenderse los hechos que con dicho instrumento se pretendan demostrar, en concordancia con los demás medios de convicción que obren en autos.

 

TERCER TRIBUNAL COLEGIADO DEL QUINTO CIRCUITO.

 

Amparo en revisión 257/2000. Bancomer, S.A., Institución de Banca Múltiple, Grupo Financiero. 26 de junio de 2001. Unanimidad de votos. Ponente: Epicteto García Báez.

 

 

 

 

 

Época: Décima Época

Registro: 2003562

Instancia: Tribunales Colegiados de Circuito

Tipo de Tesis: Aislada

Fuente: Semanario Judicial de la Federación y su Gaceta

Libro XX, Mayo de 2013, Tomo 3

Materia(s): Administrativa

Tesis: VIII.2o.P.A.18 A (10a.)

Página: 1782

 

DOCUMENTOS DIGITALES CON FIRMA ELECTRÓNICA AVANZADA O SELLO DIGITAL. PARA SU VALORACIÓN EN EL JUICIO CONTENCIOSO ADMINISTRATIVO NO DEBE ATENDERSE AL ARTÍCULO 210-A DEL CÓDIGO FEDERAL DE PROCEDIMIENTOS CIVILES, AL TENER EL MISMO VALOR PROBATORIO QUE LOS QUE CUENTAN CON FIRMA AUTÓGRAFA.

 

Del artículo 46, segundo párrafo, de la Ley Federal de Procedimiento Contencioso Administrativo se advierte que para la valoración en el juicio contencioso administrativo de los documentos digitales con firma electrónica avanzada o sello digital, no debe atenderse al artículo 210-A del Código Federal de Procedimientos Civiles, ya que el Código Fiscal de la Federación contiene diversas reglas aplicables a éstos que permiten autenticar su autoría, al disponer en su numeral 17-D, párrafo tercero, que la firma electrónica avanzada sustituye a la autógrafa, con lo cual garantiza la integridad del documento y produce los mismos efectos que las leyes otorgan a los que cuentan con firma autógrafa, al tener el mismo valor probatorio.

 

SEGUNDO TRIBUNAL COLEGIADO EN MATERIAS PENAL Y ADMINISTRATIVA DEL OCTAVO CIRCUITO.

 

Revisión fiscal 26/2013. Administradora Local Jurídica de Torreón. 14 de marzo de 2013. Unanimidad de votos. Ponente: René Silva de los Santos. Secretaria: Lilian González Martínez.

Share

INSTRUMENTOS INTERNACIONALES – Lex Informática

Dr. Alfredo A. Reyes Krafft

INSTRUMENTOS INTERNACIONALES

En los distintos Acuerdos Internacionales en materia de protección de datos, hay referencias también, por ejemplo el artículo 12 de la Declaración Universal de los Derechos del Hombre[1](10 de diciembre de 1948) establece el derecho de la persona a no ser objeto de injerencias en su vida privada y familiar, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación, gozando del derecho a la protección de la ley contra tales injerencias o ataques.

En el mismo sentido, el artículo 8 del Convenio para la Protección de los Derechos y las Libertades Fundamentales[2] (14 de noviembre de 1950) reconoce el derecho de la persona al respeto de su vida privada y familiar, de su domicilio y correspondencia.

Por su parte, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos[3] (16 de diciembre de 1966) señala que nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación.

En el mismo tenor, la Convención Americana[4] sobre derechos humanos (22 de noviembre de 1969) en su artículo 11, apartado 2 establece que nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación.

En Estados Unidos desde 1977 la Comisión Presidencial parta el estudio de la protección a la privacidad, emitió un reporte al Presidente y al Congreso de los Estados Unidos en el que recomienda que, “de momento no es necesario legislar sobre esta materia…”. La protección se debe de dar a través de la autorregulación de la industria mediante códigos de ética o de conducta. El Estado solo debe de vigilar el cumplimiento de dichos Códigos…

En 1980 la OCDE, Organización para la Cooperación y el Desarrollo Económico, emitió las Directrices sobre protección de la privacidad y flujos transfronterizos.

Estos principios atienden particularmente  los siguientes aspectos:

  • Proteger la Privacidad de información personal.
  • Prevenir la creación de barreras innecesarias al flujo transfronterizo de datos.
  • Fomentar la uniformidad por parte de empresas multinacionales en los métodos utilizados para la recolección, uso y procesamiento de datos personales.
  • Fomentar los esfuerzos nacionales e internacionales para promover y hacer cumplir las disposiciones legales de protección de datos personales.

En 1995 la Unión Europea emitió la Directiva de la Unión Europea sobre protección de los datos personales, por cierto sumamente restrictiva y conflictiva en cuanto a la prohibición del flujo de datos transfronterizos a países que no cuenten con una legislación que otorgue el mismo nivel de protección.

En el año de 1998, los ministros de la OCDE se reunieron en la ciudad de Ottawa, Canadá y adoptaron la Declaración Ministerial sobre la protección de la privacidad de las redes globales. Asimismo, en la Declaración se manifestó que para desarrollar la confianza en el entorno en línea, todo marco global debe ser flexible y debe construir puentes entre los distintos modelos de protección a la privacidad.

En el 2002 la OCDE emitió la actualización de las directrices sobre protección de la privacidad y flujo transfronterizo de datos. En virtud de este documento, el Grupo de Trabajo para la Seguridad de la Información y Privacidad de la OCDE proporciona una guía con políticas y prácticas para instrumentar las Directrices de Privacidad de la OCDE en línea.  En este documento se desarrollan diversos temas como los mecanismos alternativos de resolución de controversias, las tecnologías que mejoran la privacidad, la ejecución de leyes y el derecho a la compensación en el comercio electrónico.

En 2004 APEC emitió sus Lineamientos sobre privacidad (framework)[5] este marco normativo  fue desarrollado sobre la base de los principios  de protección de la Privacidad y el flujo transfronterizo de datos firmados el 23 de septiembre de 1980 en el marco de la.OCDE.

A principios de 2005 debido al creciente uso en las empresas de las políticas y las declaraciones de privacidad (Privacy Notice), como un medio para fomentar la transparencia y la confianza en el comercio electrónico para los usuarios de los sitios Web,  la OCDE diseñó el Generador de Políticas de Privacidad.  El Generador es una herramienta educativa, diseñada por expertos, que brinda orientación sobre cómo realizar una revisión interna de las prácticas existentes en materia de privacidad y protección a los datos personales, así como sobre la manera en que se debe elaborar una declaración sobre políticas de privacidad. También proporciona enlaces a dependencias gubernamentales, organizaciones no gubernamentales y a entidades privadas que suministran información sobre la normativa aplicable.

En la Agenda de Túnez para la Sociedad de la Información (2005) de la Cumbre Mundial de la Sociedad de la Información, se incluyeron diversos compromisos para robustecer la confianza en el comercio electrónico, fomentando diversas acciones relacionadas con los datos personales, incluyendo el combate al Spam. El numeral 39 de la Agenda advierte la necesidad de continuar con la promoción, desarrollo e implementación de una cultura mundial de ciberseguridad, que implique la acción nacional y una mayor cooperación internacional para fortalecer la protección de la información, así como la privacidad y la protección a los datos personales, ello de conformidad con la Resolución 57/239 de la Asamblea General de las Naciones Unidas.

Posteriormente, a raíz de los Foros de Gobernanza de Internet se estableció la Coalición Dinámica sobre Identidad y Privacidad de las Naciones Unidas en la que se abordan diversos temas emergentes vinculados con la protección de la privacidad y los datos personales en Internet, tales como las identidades digitales, la importancia de la privacidad y el anonimato en la libertad de expresión y los problemas de protección de datos derivados de las redes sociales, entre otros.

En virtud del Acuerdo General sobre Comercio de Servicios (GATS), administrado por la Organización Mundial del Comercio, la obligación general de retirar aquellas medidas que discriminen o restrinjan el comercio de servicios queda sujeta a determinadas excepciones generales, que incluyen: “la protección de la privacidad de los individuos con relación al procesamiento y diseminación de sus datos personales…”. (Artículo XIV(c)(ii)).

Es importante comentar que no fue sino hasta finales de 2005 cuando la Unión Europea emitió las nuevas reglas sobre la protección del flujo transfronterizo de datos que tienen como propósito “facilitar” la “autorización” para el flujo de datos a países terceros.

Derivado de esas nuevas Reglas se pudieron establecer los denominados Safe Harbor Privacy Principles,[6] publicados por el Departamento de Comercio de los Estados Unidos,  texto que contempla los principios a que deben sujetarse las entidades estadounidenses para obtener el visto bueno de la Unión Europea, a fin de asegurar una política de protección de datos adecuada, que brinden privacidad y confidencialidad homologables a los estándares europeos, tras lo cual podrán recibir cesiones de datos personales provenientes de los Estados miembros de la Unión Europea sin problemas ni sanciones para cedente o cesionario.(57)

Por su adhesión al Safe Harbor los organismos y entidades asumen ciertos principios rectores del tratamiento de datos, a saber: notificación e información a las personas, previas a la recogida de datos que les conciernen; derecho de opción para divulgación a terceros o usos incompatibles con el objeto inicial de la recogida, ya sea en listas de exclusión o aceptación, según la naturaleza de los datos; se condiciona la transferencia ulterior de datos a terceros a la adopción de los principios de Safe Harbor; se impone a las entidades tratantes de datos la obligación de implementar medidas de seguridad y la obligación de velar por la calidad de los datos; reconocimiento de los derechos de acceso y rectificación a las personas concernidas; y, se establece la necesidad de que las entidades tratantes adopten mecanismos que brinden garantías para la aplicación de los principios, tales como recursos independientes, procedimientos de seguimiento y medios para subsanar infracciones y sancionarles, en su caso.

Safe Harbor no es obligatorio las empresas o entidades deben aceptar voluntariamente la aplicación del Acuerdo, mediante auto certificación de su compromiso al respecto (Safe Harbor Agreement), que debe ser notificado al Departamento de Comercio. Dicha notificación debe renovarse anualmente e incluye información básica relativa a la entidad u organización adherente, el tratamiento de datos personales provenientes de Europa que efectúa y una descripción de las políticas de protección a que somete el procesamiento de aquellos. La verificación de las prácticas de protección, así como su conformidad con los principios de Safe Harbor puede ser efectuada por terceros o por la propia entidad. Los compromisos asumidos por las entidades adscritas a Safe Harbor sólo se refieren a aquellos datos transmitidos desde la Unión Europea a partir del momento en que se adhiere al Acuerdo.

Safe Harbor contempla algunas excepciones a las cuales no le son aplicables sus principios, tales como aquel efectuado en el marco de actividades periodísticas; al tratamiento de datos obtenidos en el contexto de una relación laboral; y previsiones ante la fusión o absorción de las entidades adheridas por otras.

Respecto de éste tema resulta importante distinguir dos  grandes referencias internacionales en la materia, la normativa Europea que adopta el esquema de Códigos de Conducta y Norteamérica que adopta el esquema del Puerto Seguro, en cuanto a la transferencia transfronteriza de datos. Los Códigos de Conducta Europeos están fundamentados en la Normativa de los Estados involucrados autorizando cada una de las autoridades nacionales su aplicación en un sector definido. Por otro lado el esquema Norteamericano de Puerto Seguro (Safe Harbor) parte de un esquema de autocertificación por cada uno de los Responsables que pretendan adherirse, es decir, la función de la autoridad se centra en administrar un listado de adheridos al convenio marco.

A efectos de control, junto a los mecanismos adoptados por las propias entidades u organismos, el Departamento de Comercio de los Estados Unidos ha designado como autoridad de aplicación a la Federal Trade Commission (Comisión Federal de Comercio), la que goza de facultades ante actos o prácticas desleales o fraudulentos que constituyen un modelo de conducta continuado e inadecuado, en tanto ellos se relacionen con el comercio. Sin embargo, la FTC en principio carece de competencia cuando la información está destinada a otros fines, así como en actividades específicas, tales como las financieras, de telecomunicaciones, transporte, aéreas y otras, evento en el cual guarda, a lo sumo, competencia residual o concurrente con otras entidades, tales como las siguientes: Federal Reserve Board, Office of Thrift Supervision, National Credit Union Administration Board y los Departamentos de Transporte y Agricultura, por mencionar algunas.

En paralelo y con la finalidad de dar seguimiento a las actividades del TLCAN se constituyó la Alianza para la Seguridad y la Prosperidad de América del Norte (ASPAN) la cual adoptó el Marco de Principios Comunes para el Comercio Electrónico y estableció en la Declaración sobre el Libre Flujo de Información de América del Norte, que las partes convenían en llevar a cabo todos los pasos necesarios para asegurar el libre flujo de la información en línea para incentivar el crecimiento y la eficiencia del mercado Norteamericano (Estados Unidos, Canadá y México), incluyendo el diálogo abierto entre la comunidad empresarial y los gobiernos de los tres países, para promover la instrumentación de una entorno en el que prevalezca la seguridad informática, se combata eficazmente el spam y se protejan los datos personales.

En 2007 la OCDE emitió una Recomendación para la Cooperación Transfronteriza para la Ejecución de Leyes que protegen la Privacidad. En la recomendación se reconoce que los cambios en el carácter y en el volumen de los flujos transfronterizos de datos han incrementado los riesgos en la privacidad de los individuos y se destaca la necesidad de mejorar la cooperación entre las agencias gubernamentales encargadas de su protección. La recomendación refleja el compromiso de los gobiernos de los estados miembros para mejorar su marco jurídico nacional para la ejecución de la legislación en materia de privacidad, fomentar la cooperación entre las agencias gubernamentales de otros países, así como para proporcionarse ayuda mutua en la ejecución de leyes en materia de privacidad y protección de datos.

En el ámbito regional, merece especial mención el trabajo de la Comisión Económica para América Latina y el Caribe (CEPAL) de las Naciones Unidas, para la elaboración de la Estrategia Latinoamericana de la Sociedad de la Información (eLAC)  para los años 2005-2007 (eLAC 2007)  y 2008-2010 (eLAC 2010),  en virtud de la cual se plantea el diseño de mecanismos para la armonización normativa en el ámbito de la privacidad y protección de datos personales.

Como resulta evidente, hoy por hoy el marco jurídico a nivel mundial no es uniforme[7] , por un lado tenemos el modelo general, denominado Europeo por algunos, que restringe el flujo transfronterizo de datos a países con niveles de protección equivalente, claro que con algunas excepciones, como son:

  1. a) Si se cuenta con consentimiento inequívoco del interesado.
  2. b) Si la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento.
  3. c) Si la empresa que recibirá los datos se adhiere al convenio “SAFE HARBOR”, es decir conviene en someterse a lo dispuesto por el modelo europeo, previa supervisión de autoridad facultada para ello.

Bajo éste modelo toda transferencia deberá ser evaluada por sus propios méritos, lo que complica la operación de las empresas y también la encarece, sobretodo a aquellas que transfieren información a todo el mundo por motivos diversos.

Por otro lado tenemos a los países que optan por el libre flujo transfronterizo de datos.

En difícil situación nos encontrábamos antes de la publicación de la Ley, ya que México que por un lado tiene firmado un Tratado de Libre Comercio de América del Norte (TLCAN) con Estados Unidos (su principal socio comercial) y Canadá, en el cual se privilegia el libre flujo transfronterizo y asimismo tiene firmado un Acuerdo de asociación económica, concertación política y cooperación entre la Comunidad Europea y sus Estados miembros, por una parte, y los Estados Unidos Mexicanos, también denominado Tratado de Libre Comercio con la Unión Europea (TLCUE), que pretende garantizar un grado elevado de protección respecto del tratamiento de datos personales (limitando el intercambio a países con protección al menos equivalente), ), así como la pertenencia a la Organización para la Cooperación Económica y el Desarrollo (OCDE) y al Acuerdo de Cooperación Asia Pacífico (APEC), entre otros instrumentos internacionales.[8]

La ley publicada resolvió la situación  estableciendo que la transferencia se hará en los términos establecidos por el Aviso de Privacidad, el cual deberá ser comunicado al receptor de los datos y definiendo una serie de excepciones, entre ellas que la transferencia esté prevista en una Ley o Tratado en los que México sea parte, estableciendo:

 CAPÍTULO V

De la Transferencia de Datos

Artículo 36.- Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.

El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

Artículo 37.- Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:

  1. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
  2. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

III.   Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;

  1. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
  2. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
  3. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

VII.  Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

Luego entonces se mantiene el libre flujo a que se refiere el TLCAN sin incumplir con lo dispuesto por el TLCUE, además de que existe un compromiso del IFAI para tramitar con la Unión Europea la obtención de una declaratoria que establezca que México cuenta con una legislación que asegura una política de protección de datos adecuada, que brinda privacidad y confidencialidad homologables a los estándares europeos

La regla general es entonces la Transferencia de datos personales, nacional e internacional, sujeta al consentimiento de su titular, por tanto le deberá ser informada a través del Aviso de Privacidad y limitarse a la finalidad que la justifique.

El transferente de datos personales garantizará que el receptor cumplirá con las disposiciones previstas en la Ley, su Reglamento y demás normatividad aplicable, a través de cláusulas contractuales u otros mecanismos que prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos.

El Reglamento de la Ley hace una distinción importante entre Remisión y Transferencia de datos, definiendo a la Remisión como aquel tratamiento que implica la comunicación de los datos personales, dentro o fuera del territorio nacional, si es realizado por el encargado a cuenta del responsable (en este caso no requerirán ser informado al titular ni recabar su consentimiento, pues es el propio responsable quien decide sobre la finalidad, uso y destino de los datos)

Lo anterior, a nuestro juicio,  permitirá seguramente el reconocimiento de México por parte de la Unión Europea como un país con un adecuado nivel de protección de datos, de tal suerte que facilitará la relación jurídica y comercio con empresas e instituciones europeas, sin requerir de la firma de un Safe Harbor Agreement

 

[1] http://www.un.org/spanish/aboutun/hrights.htm  (12 de febrero del 2012)

[2] http://www.derechos.org/nizkor/espana/doc/conveudh50.html (12 de febrero del 2012)

[3] http://www.derechos.org/nizkor/ley/pdcp.html (16 de febrero del 2012)

[4] http://www.oas.org/juridico/spanish/Tratados/b-32.html (12 de febrero del 2012)

[5] Prevención de daños. Prevenir la recolección errónea o el mal uso de la información personal de los individuos, estableciendo medidas de resarcimiento proporcionales.

Aviso. Del aviso que los responsables de la recolección de datos deben de dar a los individuos, por escrito o a través de medios electrónicos, antes o inmediatamente después de la recolección de información personal.

Limitación a la recolección. La información personal recolectada debe hacerse en forma justa y legal, adecuándose a los propósitos de la misma. Asimismo, los datos recolectados deben de ser relevantes y necesarios para la consecución del propósito

Uso de información personal. Limita el uso de la información recolectada para la consecución del propósito de la misma o de otros propósitos compatibles o relacionados.

Opción Provee al individuo con mecanismos para ejercer la opción en relación a la recolección, uso y revelación de la información que les concierne.

Integridad de la información personal. Determina que la información personal debe ser precisa, completa y actualizada según el propósito para el que fue recolectada

Salvaguardas de la seguridad. Son necesarias medidas de seguridad apropiadas para mantener la integridad de la información personal recolectada, que sean proporcionales a la posibilidad de quien la recaba.

Acceso y Corrección. Proveer al individuo con el derecho de acceder a la información que le concierne, para verificar la precisión de sus datos y, en su caso, la posibilidad de solicitar su debida corrección.

Responsabilidad. En los casos en los que se transfiera información personal, tomar medidas razonables para asegurar que los destinatarios tomen a su vez las medidas conducentes para el debido respeto de estos principios

 

[6] http://www.export.gov/safeharbor/  y https://www.export.gov/safehrbr/list.aspx (15 de diciembre del 2011)

 

[7] Los distintos modelos normativos que existen en la materia son:

  1. Instrumentos supranacionales con carácter vinculante (Tratados Internacionales)
  2. Países con Ley de Protección de datos con Autoridad y Control Administrativo
  3. Países con protección legislativa parcial y explícita
  4. Países que reconocen el recurso de habeas data
  5. Países con reconocimiento del derecho a la intimidad en su constitución
  6. Países con referencia legislativa parcial sectorial y dispersa
  7. Paises que reconocen algún esquema de autorregulación en la materia

[8] Al amparo del TLCAN, se efectúan transacciones comerciales electrónicas que involucran la transferencia internacional de datos personales, sin que exista en ambos países una regulación extensiva de los principios de protección de datos personales, sino regulaciones sectoriales por ejemplo en materia de protección de datos personales en archivos  públicos o de protección a los consumidores frente a prácticas desleales o uso indebido de su información personal.

Canadá, también nuestro socio comercial, cuenta con leyes tanto a nivel federal  como provincial en materia de protección de datos, así como el reconocimiento de la Unión Europea como un país con nivel adecuado de protección.

Por lo que hace al Tratado de Libre Comercio con la Unión Europea (TLCUE), el artículo 41 contempla la cooperación en materia de protección de los datos de carácter personal con vistas a mejorar su nivel de protección y prevenir los obstáculos a los intercambios que requieran transferencia de datos de carácter personal, y en su artículo 51 se señala que las partes se obligan a garantizar un grado elevado de protección respecto al tratamiento de los datos de carácter personal.

Share

LEX INFORMÁTICA: VALIDÉZ JURÍDICA DE LA FIRMA AUTÓGRAFA DIGITALIZADA EN DISPOSITIVOS ELECTRÓNICOS

17 FEBRERO, 2016

Dr. Alfredo A. Reyes Krafft

Las evidencias electrónicas de una firma autografa digitalizada en un dispositivo electrónico  permiten que se pueda presentar en juicio respaldada por un informe pericial caligráfico como es habitual por la aplicación tradicional de las consideraciones debidas a la firma manuscrita en la normativa procesal.

  1. Objetivo.

El objetivo del presente documento es describir la naturaleza y tratamiento de la Firma Autógrafa Digitalizada en dispositivos electrónicos como medio de prueba. Conforme a lo señalado a continuación, la firma autógrafa digitalizada constituye una forma válida para expresar el consentimiento de los contratantes y dar formalidad a los contratos que requieran celebrarse por escrito. Asimismo, en principio, la firma autógrafa digitalizada estampada en o en conjunto con el contrato correspondiente debe entenderse como un medio de prueba documental con requisitos específicos de valoración establecidos en los ordenamientos civiles y mercantiles. Pues el hecho de que esté contenida en un medio electrónico no le quita de ninguna forma su naturaleza de Firma Autógrafa

2. Naturaleza de los medios electrónicos como medios de prueba.

En el momento en que una persona plasma su firma autógrafa sobre un dispositivo electrónico, los trazos de la firma se vinculan como imagen al texto del contrato  permitiendo su conservación de forma inalterada (en los términos del art. 49 del Código de Comercio y la Norma Oficial Mexicana de Conservación de Mensajes de Datos) y posibilitando reproducir la firma para su ulterior consulta e inclusive, dependiendo de la tecnología utilizada, permite conocer las características del acto generador tales como la presión ejercida al momento de realizar el trazo y la inclinación del instrumento utilizado para realizarla. Lo anterior de tal forma que la firma autógrafa capturada en un mensaje de datos  esto es generada y conservada en medios electrónicos, por lo que su valoración, al igual que cualquier otra información generada dichos medios electrónicos, dependerá de la fiabilidad de el método utilizado para capturarla y resguardarla.

Por lo novedoso de el tema, no existe un criterio definitivo sobre el tipo de prueba que representa la firma autógrafa en medios electrónicos, mismos que pueden presentarse como prueba documental o como descubrimientos de la ciencia (avances tecnológicos).

Sin perjuicio de que puedan presentarse como avances tecnológicos, la tendencia del comercio electrónico es el reconocimiento de los mensajes de datos como pruebas documentales privadas.[1] Este entendimiento se encuentra reconocido en la tesis Prueba de inspección. Debe Desecharse cuando los puntos propuestos para su desahogo puedan ser comprobados a través de la documental, entendida como la información generada o comunicada que conste en medios electrónicos o en cualquier otra tecnología, que puede ser reproducida, no solamente en el papel sino también en algún disquete o disco óptico.[2]

En éste caso y como prueba documental, los medios electrónicos formarían prueba plena en tanto no sean objetados. En caso de ser objetados deberán otorgarse otras pruebas, como la pericial caligráfica o informática, para confirmar su veracidad.[3]

La valoración de los medios electrónicos como prueba se deberá realizar, como se señala en las secciones C. y D. siguientes, atendiendo principalmente a la fiabilidad de los método en los que se recabe, la integridad de la información y la posibilidad de atribuirla a las partes.

3. Tratamiento de los medios electrónicos en materia civil.

En materia civil, el artículo 1803 del Código Civil Federal reconoce que el consentimiento es expreso cuando la voluntad se manifiesta por escrito y por medios electrónicos. De esta forma, la voluntad que se expresa mediante la firma autógrafa digitalizada constituye un medio válido para expresar el consentimiento expreso y dar validez a los actos realizados por el firmante ya que debe entenderse que se trata del consentimiento expresado por escrito[4] capturado en un medio electrónico.

En el mismo sentido, el artículo 1834 Bis del mismo ordenamiento reconoce que los contratos que requieran forma escrita y firma otorgada por las partes cumplirán dichos requisitos cuando se utilicen medios electrónicos siempre que la información generada en forma íntegra (i) sea atribuible a las personas obligadas, y (ii) accesible para su ulterior consulta.

Por lo que se refiere a la calidad probatoria de la firma autógrafa digitalizada, el artículo 79 del Código Federal de Procedimientos Civiles establece que para conocer la verdad, puede el juzgador valerse de cualquier cosa o documento sin más limitaciones que las pruebas estén reconocidas por la Ley y tengan relación inmediata con los hechos controvertidos. En ese sentido, el artículo 210-A del Código Federal de Procedimientos Civiles reconoce como prueba la información generada o comunicada que conste en medios electrónicos, ópticos o en cualquier otra tecnología. También establece que para valorar la fuerza probatoria de la información se estimará la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada y, en su caso, si es posible atribuir a las personas obligadas el contenido de la información relativa y ser accesible para su ulterior consulta. Finalmente, dicho artículo 210-A establece que cuando la ley requiera que un documento sea conservado y presentado en su forma original, ese requisito quedará satisfecho si se acredita que la información generada, comunicada, recibida o archivada por medios electrónicos, ópticos o de cualquier otra tecnología, se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y ésta pueda ser accesible para su ulterior consulta.

Conforme a lo antes señalado, en materia civil, la parte que desee acreditar la validez de una firma autógrafa digitalizada deberán en primer lugar demostrar la fiabilidad de los medios electrónicos en los que se capturó , y mantienen la información de forma íntegra y accesible para su ulterior consulta; y en segundo lugar que la información es atribuible a la persona que haya suscrito el acto correspondiente (es decir a quien o quiens hayan estampado su firma autógrafa). Para estos efectos el litigante podrá presentar peritajes y dictámenes elaborados por especialistas en informática sobre el sistema electrónico utilizado y periciales caligráficas sobre la propia firma.

4. Tratamiento de los medios electrónicos en materia mercantil.

Conforme al artículo 89 del Código de Comercio, en los actos de comercio y en la formación de los mismos podrán emplearse los medios electrónicos, ópticos o cualquier otra tecnología. Asimismo, el artículo 93 del mismo ordenamiento establece que cuando la ley exija (i) forma escrita para los contratos, dicho requisito se tendrá por cumplido tratándose de mensajes de datos (información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología) siempre que la información se mantenga íntegra y sea accesible para su ulterior consulta, y (ii) que el documento sea firmado por las partes, dicho requisito se tendrá por cumplido tratándose de mensajes de datos siempre que sea atribuible a dichas partes.

En relación a lo anterior, el Código de Comercio establece una equivalencia funcional entre el documento en papel y el mensaje de datos. Al respecto, el artículo 89 de dicho ordenamiento establece “Las actividades reguladas por este Título se someterán en su interpretación y aplicación a los principios de neutralidad tecnológica, autonomía de la voluntad, compatibilidad internacional y equivalencia funcional del Mensaje de Datos en relación con la información documentada en medios no electrónicos y de la Firma Electrónica en relación con la firma autógrafa. Además el art 89 bis del mismo ordenamiento claramente establece: “No se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos”

Por lo que se refiere a la firma autógrafa digitalizada como medio de prueba, el artículo 1205 del Código de Comercio establece que son admisibles como medios de prueba todos aquellos elementos que puedan producir convicción en el ánimo del juzgador acerca de los hechos controvertidos o dudosos por lo que se tomarán como pruebas, entre otros, los documentos privados, los mensajes de datos y, en general, cualquier otro similar. Por su parte, el artículo 1298-A del mismo ordenamiento reconoce como prueba los mensajes de datos y establece que para valorar la fuerza probatoria de los mismos deberá estimarse la fiabilidad del método en que haya sido generada, archivada, comunicada o conservada. Toda vez que la firma autógrafa se representa en un mensaje de datos ésta debe reconocerse como un medio de prueba de la celebración del contrato respecto del cual fue otorgada.

Conforme a lo antes señalado, en materia mercantil, al igual que en materia civil, la parte que desee acreditar la validez de una firma autógrafa digitalizada deberán en primer lugar demostrar que los medios electrónicos en los que se capturó son fiables, y mantienen la información de forma íntegra y accesible para su ulterior consulta; y en segundo lugar que la información es atribuible a la persona que haya suscrito el acto correspondiente. Para efectos de lo anterior, el litigante podrá presentar peritajes y dictámenes elaborados por especialistas en informática o calígrafos sobre el sistema electrónico utilizado y la propia firma.

5. Riesgos.

Los principales riesgos relativos al uso de firmas autógrafas digitalizadas pueden dividirse en (i) insuficiencia tecnológica, y (ii) capacitación tecnológica del juez ante el cual se presenten las pruebas.

Por lo que se refiere al primer punto, la parte que captura la firma autógrafa en un medio electrónico debe ser capaz de demostrar plenamente que la información capturada se mantuvo íntegra y que es atribuible a las partes. Respecto de la integridad de la información el hardware y software utilizados para capturar y conservar la firma tienen medidas de seguridad que impidan su manipulación una vez consignada la firma y que permitan detectar cualquier manipulación realizada respecto de la misma o del texto al que está vinculada.

Entre los requisitos podremos considerar:

  • Captura de elementos biométricos dinámicos de la firma (coordenadas sucesivas y presión del trazo realizado sobre la tableta, con una frecuencia de muestreo adecuada)
  • Vinculación de la firma con el documento garantizando la identidad del firmante y la integridad del documento con la firma integrada.
  • Imposibilidad de incrustar la firma en otros documentos, por parte de quien capta la firma o custodia el documento.
  • Confidencialidad de los datos biométricos y Protección de la información conforme a la Ley Federal de protección de Datos Personales en Posesión de Particulares y su reglamento
  • Posibilidad de comprobar la firma por el titular
  • Soporte duradero: El documento electrónico está a disposición del firmante en el momento de la firma y en cualquier momento futuro en que requiera tener acceso a el.

Por lo que se refiere a la capacitación tecnológica del juzgador, es importante hacer referencia de la posibilidad de demostrar con peritajes y dictámenes la fiabilidad de la información presentada.

[1] Ver Toledo Gonzalez, Vicente “Criterios de los Tribunales Federales Mexicanos sobre Medios Electrónicos”, en Derecho y Medios Electrónicos, Porrúa, México, 2012, pag. 308. Linares Carranza, Andrés “Los Medios Electrónicos como Elementos de Prueba” en Derecho y Medios Electrónicos, Porrúa, México, 2012, pag. 284. Pérez Segura, Osiris Berencie y Carranco Marínez Marisol, Contratos y Transacciones por Medios Electrónicos, Trillas, México, 2013

[2] Segundo Tribunal Colegiado de Circuito en Materias Penal y Administrativa del Vigésimo Primer Circuito. Queja 39/2006.

[3] Artículos 1296 del Código de Comercio y 203 del Código Civil Federal.

[4] La Real Academia Española define “escribir” como “representar las palabras o las ideas con letras u otros signos trazados en papel u otra superficie”.  http://lema.rae.es/drae/?val=escrito. En este caso los signos se otorgan sobre una superficie que convierte el trazo en información que a su vez puede ser reproducida.

Share